《第1章-入侵检测概述-入侵检测技术课件.ppt》由会员分享,可在线阅读,更多相关《第1章-入侵检测概述-入侵检测技术课件.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第1章 入侵检测概述李 剑E-mail:电话:130版权所有,盗版必纠目 录1.1 入侵检测简介1.2 入侵检测系统在信息安全中的地位1.3 入侵检测系统的基本原理与工作模式1.4 入侵检测的分类1.5 常用入侵检测方法版权所有,盗版必纠1.1 入侵检测简介 因特网是全球信息共享的基础设施,是一种开放和面向所有用户的技术。一方面要保证信息方便、快捷的共享,另一方面要防止垃圾、恶意信息的传播。根据CNNIC在2007年1月的第19次中国互联网络发展状况统计报告统计,中国网民总人数为13700万人。这期中仅有8.4%的网民对于网络内容的建康性非常满意。也就是说有91.6%的中国网民(12550万人
2、)都或多或少的对于网络的建康性不满意。网上的入侵事件时有发生。版权所有,盗版必纠1.1 入侵检测简介 图中所示为CERT/CC统计到的近年来信息安全事件分析,1998年到2003年安全事件增加了23倍(1998年为3734次,2003年为127 529次)。版权所有,盗版必纠什么是入侵检测 入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。版权所有,盗版必纠入侵检测的发展历史1.1.概念的诞生概念的诞生1980年4月,James P.
3、Anderson为美国空军做了一份题为计算机安全威胁监控与监视(Computer Security Threat Monitoring and Surveillance)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为3种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。版权所有,盗版必纠入侵检测的发展历史2.模型的发展模型的发展19841986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann研究出了一个实时
4、入侵检测系统模型,取名为入侵检测专家系统(IDES)。该模型由6个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。版权所有,盗版必纠入侵检测的发展历史3.3.百花齐放的春天百花齐放的春天1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开
5、了新的一页,基于网络的IDS和基于主机的IDS两大阵营正式形成。版权所有,盗版必纠入侵检测的发展历史3.3.百花齐放的春天百花齐放的春天版权所有,盗版必纠1.2 入侵检测系统在信息安全中的地位P2DR2P2DR2安全模型与入侵检测系统关系安全模型与入侵检测系统关系 目前普遍采用动态网络安全理论来确保网络系统的安全,这种理论就是基于P2DR2 安全模型的动态信息安全理论。P2DR2 模型是在整体的安全策略(Policy)的控制和指导下,在综合运用防护工具(Protection,如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(Detection,如漏洞评估、入侵检测等系统)了解和评估
6、系统的安全状态,通过适当的响应(Response)将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环。版权所有,盗版必纠传统安全技术的局限性 (3)3)在攻击发生后,利用防火墙保存的信息难以调查和在攻击发生后,利用防火墙保存的信息难以调查和取证取证在攻击发生后,能够进行调查和取证,将罪犯绳之以法,是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限,难以识别复杂的网络攻击并保存相关的信息。版权所有,盗版必纠1.3 入侵检测系统的基本原理与工作模式1.3.1 入侵检测系统的基本原理入侵检测系统的基本原理入侵检测系统基本的工作原理如图1.5所示
7、。主要分为四个阶段:数据收集、数据处理、数据分析和响应处理。版权所有,盗版必纠入侵检测系统的基本工作模式入侵检测系统的基本工作模式为:(1)从系统的不同环节收集信息;(2)分析该信息,试图寻找入侵活动的特征;(3)自动对检测到的行为做出响应;(4)纪录并报告检测过程结果。如图1.6所示。版权所有,盗版必纠入侵检测的分类入侵检测的分类 入侵版权所有,盗版必纠根据入侵检测技术分类根据入侵检测技术分类 根据入侵检测系统所采用的技术可分为特征误用检测、异常检测和协议分析三种。(1)误用检测误用检测(Misuse detection)又称为特征检测(Signature-based detection),
8、这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。版权所有,盗版必纠根据入侵检测技术分类根据入侵检测技术分类(2)异常检测异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”
9、或忽略真正的“入侵”行为。版权所有,盗版必纠根据入侵检测技术分类根据入侵检测技术分类(3)协议分析协议分析 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。版权所有,盗版必纠根据入侵检测数据来源分类根据入侵检测数据来源分类 (3)(3)混合入侵检测混合入侵检测基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面
10、。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。版权所有,盗版必纠根据入侵检测数据来源分类根据入侵检测数据来源分类(4)(4)文件完整性检查文件完整性检查文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。版权所有,盗版必纠根据入侵检测体系结构分类根据入侵检测体
11、系结构分类(1)集中式入侵检测系统集中式IDS有多个分布在不同主机上的审计程序,仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多,中央服务器进行分析处理的数量就会猛增,而且一旦服务器遭受攻击,整个系统就会崩溃。版权所有,盗版必纠根据入侵检测体系结构分类根据入侵检测体系结构分类(3)分布式(协作式)入侵检测系统 分布式IDS是将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。所以,其可伸缩性、安全性都等到了显著的提高,并且与集中式IDS相比,分布式IDS对基于网络的共
12、享数据量的要求较低。但维护成本却提高了很多,并且增加了所监控主机的工作负荷,如通信机制、审计开销、踪迹分析等。版权所有,盗版必纠根据入侵检测系统时效性分类根据入侵检测系统时效性分类根据时效性,入侵检测系统可以分为脱机分析入侵检测系统、联机分析入侵检测系统。(1)脱机分析:就是在行为发生后,对产生的数据进行分析,而不是在行为发生时进行分析。如对日志的审核、对系统文件的完整性检查等。(2)联机分析:就是在数据产生或者发生改变的同时对其进行检查,以发现攻击行为,这种方式一般用于对网络数据的实时分析,并且对系统资源要求比较高。版权所有,盗版必纠常用入侵检测方法常用入侵检测方法(2)统计检测统计模型常用
13、异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。版权所有,盗版必纠常用入侵检测方法常用入侵检测方法(3)专家系统用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。版权所有,盗版必纠小 结 这里主要给大家讲述了入侵检测概述。欢迎大家提问?版权所有,盗版必纠返回Thanks For Attendance!Thanks For Attendance!版权所有,盗版必纠